Quand on commence à s'intéresser aux VPN et à la vie privée numérique, les termes techniques se multiplient rapidement : WireGuard, kill switch, no-log, juridiction Five Eyes, perfect forward secrecy... Chaque comparatif les utilise comme s'ils allaient de soi, sans jamais les définir clairement. Ce glossaire corrige ça : 30 définitions courtes, précises, organisées par thème, rédigées pour être comprises en 30 secondes.
Il sert à la fois de référence rapide à garder sous la main et de base pour comprendre les audits VPN et les guides techniques du site. Les termes les plus critiques — ceux qui définissent réellement si un VPN protège ou non — sont marqués explicitement.
Table des matières
- Protocoles VPN
- Chiffrement et sécurité
- Fuites et vulnérabilités
- Vie privée et juridiction
- Fonctionnalités clés
- Outils et technologies connexes
Protocoles VPN
VPN (Virtual Private Network)
Un VPN est un tunnel chiffré entre ton appareil et un serveur distant géré par le fournisseur. Il masque ton adresse IP réelle, chiffre tout le trafic, et fait croire aux sites que tu viens de l'emplacement du serveur. Ton FAI ne voit que le tunnel chiffré — pas les sites que tu visites.
WireGuard
WireGuard est le protocole VPN le plus moderne (code source < 4 000 lignes, contre 400 000 pour OpenVPN). Il utilise ChaCha20 pour le chiffrement et Curve25519 pour l'échange de clés. Il est 2 à 5 fois plus rapide qu'OpenVPN en débit mesuré, avec une latence réduite et une surface d'attaque minimale. Standard recommandé en 2026.
OpenVPN
OpenVPN est le protocole VPN open source de référence depuis 2001. Très audité, très flexible, disponible sur tous les OS, mais techniquement plus lourd que WireGuard. Il utilise AES-256-GCM et supporte TCP (stable mais lent) et UDP (rapide). Toujours pertinent pour contourner certains firewalls qui bloquent WireGuard. Voir notre comparatif WireGuard vs OpenVPN.
IKEv2/IPsec
IKEv2 (Internet Key Exchange v2) combiné à IPsec est un protocole performant, natif sur iOS et macOS, particulièrement stable lors des changements de réseau (Wi-Fi → 4G). Légèrement moins rapide que WireGuard mais plus éprouvé sur mobile. Bonne alternative quand WireGuard pose des problèmes de compatibilité réseau.
Split tunneling
Le split tunneling permet de choisir quelles applications ou domaines passent par le tunnel VPN, et lesquels utilisent la connexion directe. Utile pour accéder à des ressources locales (imprimante, NAS, banque) tout en protégeant le reste. Désactiver le split tunneling pendant un audit technique pour éviter les mesures faussées.
Chiffrement et sécurité
AES-256
AES-256 (Advanced Encryption Standard, clé 256 bits) est le standard de chiffrement symétrique utilisé par la quasi-totalité des VPN modernes. Une force brute directe est computationnellement impossible avec la puissance actuelle — y compris avec des ordinateurs quantiques dans le cadre du modèle actuel. La variante GCM (Galois/Counter Mode) ajoute l'authentification intégrée du message.
Perfect forward secrecy (PFS)
La confidentialité persistante génère une clé de session unique pour chaque connexion, indépendante de la clé maîtresse. Si une clé de session est compromise, les sessions précédentes et futures restent protégées. Sans PFS, une clé longue terme compromise déchiffre tout l'historique. WireGuard et OpenVPN modernes implémentent PFS par défaut via ECDH.
Chiffrement de bout en bout (E2E)
Le chiffrement end-to-end garantit que seuls l'émetteur et le destinataire peuvent lire le message — ni le fournisseur de service, ni un intermédiaire réseau. Signal, ProtonMail et certaines messageries l'implémentent. Distinction importante : un VPN chiffre le transit réseau mais pas le contenu des applications ; E2E chiffre le contenu applicatif.
Obfuscation
L'obfuscation déguise le trafic VPN pour qu'il ressemble à du trafic HTTPS ordinaire, rendant sa détection et son blocage difficiles. Utilisé pour contourner les firewalls deep packet inspection (DPI) — notamment en Chine (Great Firewall), en Russie et aux Émirats. ExpressVPN (Lightway obfusqué), NordVPN (obfuscated servers) et Mullvad proposent cette option.
Zero-knowledge
Un système zero-knowledge stocke ou traite des données sans jamais avoir accès au contenu en clair. Dans le contexte VPN, cela signifie que le fournisseur ne peut techniquement pas accéder aux données de navigation même s'il le voulait. Différent du simple no-log : le no-log est une promesse de politique ; le zero-knowledge est une garantie architecturale.
Fuites et vulnérabilités
DNS leak (fuite DNS)
Une fuite DNS survient quand les requêtes de résolution de noms de domaine (quel serveur correspond à « google.com » ?) sortent hors du tunnel VPN et passent par les serveurs DNS du FAI. Résultat : ton FAI voit chaque domaine que tu visites, même si le contenu est chiffré. C'est la fuite la plus fréquente et la moins visible. Guide complet : tester les fuites DNS.
WebRTC leak (fuite WebRTC)
WebRTC est une API navigateur pour la communication peer-to-peer. Pour fonctionner, elle interroge toutes les interfaces réseau de ta machine — y compris ton IP réelle, avant que le VPN ne la masque. Un script JavaScript malveillant peut ainsi récupérer ton IP réelle malgré le VPN. Solution : activer la protection WebRTC dans le client VPN ou désactiver WebRTC dans le navigateur.
IP leak (fuite IP)
Une fuite IP expose ton adresse IP réelle à un site externe malgré le VPN actif. Causes possibles : tunnel mal configuré, bug du client, protocole non supporté (IPv6 si le VPN ne tunnelise qu'IPv4). Vérifiable en 30 secondes via notre outil de test de fuites. Un audit VPN sérieux commence par ce test.
IPv6 leak (fuite IPv6)
Si ton FAI déploie IPv6 nativement (ce qui est le cas de Free et Orange en France depuis 2020) et que ton VPN ne tunnelise que l'IPv4, ton adresse IPv6 réelle reste visible de l'extérieur. Les plateformes comme Google ou Facebook préfèrent IPv6 quand disponible — elles voient donc ton identité réelle. Solution : désactiver IPv6 au niveau OS ou utiliser un VPN qui gère les deux protocoles.
Fingerprinting (empreinte numérique)
Le fingerprinting identifie un navigateur ou appareil via la combinaison unique de ses caractéristiques techniques : résolution d'écran, polices installées, fuseau horaire, rendu Canvas/WebGL, liste d'extensions. Cette empreinte survit au changement d'IP — un VPN ne la masque pas. Contre-mesure : Firefox avec privacy.resistFingerprinting, Brave Shields, ou Tor Browser. Voir notre audit VPN complet pour le test dédié.
Vie privée et juridiction
No-log (zéro journal)
La politique no-log signifie que le fournisseur VPN n'enregistre ni IP source, ni sites visités, ni horodatages de connexion, ni volumes de données. Une promesse non vérifiée n'est qu'un argument marketing. Seul un audit indépendant récent (PwC, Deloitte, Cure53) publié par le fournisseur constitue une preuve technique. NordVPN, ExpressVPN, Mullvad et ProtonVPN ont tous des audits publiés.
Five/Nine/Fourteen Eyes (5/9/14 Eyes)
Les Five Eyes (États-Unis, Royaume-Uni, Canada, Australie, Nouvelle-Zélande) partagent activement leurs données de renseignement. Les Nine Eyes ajoutent France, Danemark, Pays-Bas, Norvège. Les Fourteen Eyes étendent encore. Un VPN dont le siège est dans un de ces pays peut être contraint légalement de coopérer. Juridictions hors alliance : Panama (NordVPN), îles Vierges britanniques (ExpressVPN), Suisse (ProtonVPN).
Juridiction
La juridiction est le pays dont les lois s'appliquent au fournisseur VPN. Elle détermine quelles injonctions légales il peut recevoir, quelles obligations de rétention de données s'imposent à lui, et à quels services de renseignement il peut être contraint de coopérer. Panama, Roumanie, Suisse et les Îles Caïmans sont les juridictions les plus favorables à la vie privée en 2026.
Warrant canary
Un warrant canary est une déclaration publique régulièrement mise à jour par un fournisseur VPN pour signifier qu'il n'a reçu aucune injonction secrète de la part d'un gouvernement. Si la déclaration cesse d'être mise à jour ou est supprimée, c'est un signal indirect que l'entreprise a reçu une demande légale sous sceau de confidentialité. Mullvad et ProtonVPN publient un canary actif.
Threat model (modèle de menace)
Le modèle de menace définit de qui tu cherches à te protéger et contre quoi. Un journaliste protégeant une source a un modèle très différent d'un utilisateur qui veut juste éviter la surveillance publicitaire de son FAI. Définir son threat model permet de choisir les outils adaptés : VPN seul, VPN + Tor, ou OPSEC complète. Sans cette étape, les outils de protection sont souvent surdimensionnés ou sous-dimensionnés.
Audit indépendant
Un audit indépendant est un examen technique du code, de l'infrastructure et des pratiques d'un fournisseur VPN réalisé par un cabinet externe reconnu (PwC, Deloitte, Cure53, Securitum). Il vérifie que la politique no-log est effectivement respectée dans l'implémentation technique, pas seulement dans les conditions d'utilisation. La date de l'audit compte autant que l'auditeur : un rapport de 2019 est obsolète en 2026.
Fonctionnalités clés
Kill switch
Le kill switch coupe automatiquement ta connexion Internet si le tunnel VPN tombe. Sans lui, ton IP réelle est exposée le temps de la reconnexion. Deux niveaux existent : kill switch système (coupe tout le trafic) ou par application (coupe uniquement les apps listées). Pour un usage privacy sérieux, activer le niveau système. Guide détaillé : kill switch VPN expliqué.
Double VPN (multi-hop)
Le double VPN (ou multi-hop) fait passer ton trafic par deux serveurs VPN séquentiels au lieu d'un. Le premier serveur chiffre et transmet ; le second déchiffre et sort. Avantage : même si un serveur est compromis, l'attaquant ne voit ni l'IP source ni la destination finale. Inconvénient : latence doublée, débit réduit. Usage recommandé pour les journalistes et activistes à haut risque.
RAM-only server (serveur RAM)
Un serveur RAM-only tourne entièrement en mémoire vive, sans écriture sur disque dur. À chaque redémarrage, toutes les données sont irrémédiablement effacées. En cas de saisie physique du serveur par les autorités, aucune donnée d'utilisateur ne peut être récupérée — ce que des serveurs sur disque dur rendraient possible. ExpressVPN (TrustedServer) et NordVPN ont migré leur infrastructure sur ce modèle.
Port forwarding
Le port forwarding permet à des connexions entrantes de traverser le tunnel VPN pour atteindre ton appareil. Utile pour les serveurs domestiques, le partage de fichiers P2P actif et certains jeux en ligne. Tous les VPN ne proposent pas cette option — Mullvad et ProtonVPN la supportent, NordVPN non (depuis 2023). Peut présenter des risques de sécurité si mal configuré.
P2P (peer-to-peer)
Le P2P désigne les réseaux de partage de fichiers décentralisés (torrents, eMule). Certains VPN bloquent le P2P ou le limitent à des serveurs dédiés pour éviter des problèmes légaux dans certaines juridictions. Les VPN recommandés pour le torrent ont des serveurs P2P spécifiques, optimisés pour le volume et avec politique no-log vérifiée. Guide complet : VPN pour P2P et torrent.
Outils et technologies connexes
Tor (The Onion Router)
Tor est un réseau d'anonymisation qui fait transiter le trafic par trois relais successifs gérés par des bénévoles. Chaque relais ne connaît que ses voisins directs — personne ne voit à la fois l'origine et la destination. Tor offre un anonymat plus fort qu'un VPN mais est 10 à 20 fois plus lent. Différence fondamentale : VPN = délégation de confiance, Tor = architecture décentralisée sans confiance centrale. Voir Tor vs VPN.
Tor over VPN
Tor over VPN signifie connecter d'abord au VPN, puis lancer Tor. Avantage : le nœud d'entrée Tor voit l'IP du serveur VPN, pas ton IP réelle. Inconvénient : performance très dégradée (cumul des latences), et ton fournisseur VPN sait que tu utilises Tor. Cas d'usage : journalistes sous surveillance active, lanceurs d'alerte. Guide de configuration : Tor over VPN 2026.
Proxy
Un proxy est un intermédiaire réseau qui redirige les requêtes d'une application (navigateur) vers un serveur tiers. Contrairement au VPN, il n'opère qu'au niveau applicatif, sans chiffrement du contenu, et ne couvre qu'une application à la fois. Utilisé pour contourner des blocages géographiques simples ou filtrer le trafic en entreprise. Ne protège pas contre l'interception du trafic.
DoH (DNS over HTTPS)
DNS over HTTPS chiffre les requêtes DNS dans du trafic HTTPS standard, les rendant illisibles pour les intermédiaires réseau (FAI, Wi-Fi d'entreprise). Différent d'un VPN : DoH ne masque pas ton IP ni ne chiffre le reste de ton trafic — il protège uniquement les requêtes DNS de la surveillance. Peut compléter un VPN ou être utilisé seul pour améliorer la confidentialité DNS. Guide complet : configurer DNS over HTTPS.
Vie privée numérique
La vie privée numérique désigne l'ensemble des pratiques et outils permettant de contrôler quelles données personnelles sont collectées, stockées et partagées en ligne. Elle englobe le VPN, le chiffrement, la gestion des cookies, le fingerprinting, les droits légaux (RGPD en Europe, CCPA en Californie) et les choix comportementaux (ce qu'on partage volontairement). Un VPN est un outil parmi d'autres — pas une solution complète. Voir pourquoi la vie privée numérique compte en 2026.
Ce que ce glossaire ne remplace pas
Connaître les termes est un point de départ, pas une fin. La vraie protection vient de la vérification concrète que ton VPN fait ce qu'il promet. Pour ça : notre audit VPN en 9 tests couvre les fuites IP, DNS, WebRTC et IPv6, le kill switch, la géolocalisation streaming, la politique de logs et l'empreinte navigateur — en une trentaine de minutes. Et si tu veux aller plus loin sur la protection contre la surveillance des Wi-Fi publics, le guide des risques Wi-Fi public 2026 détaille les vecteurs d'attaque réels et les contre-mesures.
Guides et outils pour aller plus loin
- Audit VPN complet en 9 tests →Protocole trimestriel : IP, DNS, WebRTC, kill switch, logs, juridiction
- WireGuard vs OpenVPN en 2026 →Comparatif protocoles sur vitesse, sécurité et cas d'usage
- Kill switch VPN expliqué →Mécanisme, variantes OS, test pratique
- Tester les fuites DNS et IPv6 →Guide complet de détection et correction par OS
- Tor vs VPN : différences et combinaison →Quand utiliser l'un, l'autre ou les deux
- Risques Wi-Fi public en 2026 →Ce que voient réellement les opérateurs réseau
- Pourquoi la vie privée numérique compte →Chiffres réels 2025-2026 sur la collecte de données
Article publié le 11 juin 2026. Définitions établies à partir des spécifications techniques officielles (RFC WireGuard, RFC 8826 WebRTC, NIST AES-256), des audits publiés par les fournisseurs VPN (PwC, Deloitte, Cure53), et des recommandations de l'Electronic Frontier Foundation (Surveillance Self-Defense) et de PrivacyGuides. Mis à jour en continu à chaque évolution majeure des protocoles ou de la réglementation.
Voir l'offre NordVPN
30 jours satisfait ou remboursé
